 |
大学教職員の職能開発No.3
本講習会は、情報セキュリティの危機管理能力の強化を推進するため、大学の教職員を対象に、情報の管理ならびに運用対策の専門知識および情報の管理技術の普及を開催趣旨とし、8月30日(火)に中部大学春日井キャンパスで開催した。当協会非加盟の大学・短期大学からも参加を募集し、80名(57大学、2短期大学)の参加があり、昨年度より10名ほど多かった。
今年度は、大学等における情報セキュリティの危機管理能力の強化を推進するため、大学情報システムの現状と課題から災害時の緊急対応力の強化を図ること、経費負担および管理負担の軽減などの視点から情報セキュリティの課題・問題点を整理して研究することを目的に、クラウドコンピューティングの導入と災害対策をテーマに全体会の講義と二つのコースを設定した。二つのコースでは、クラウドの基盤技術の理解を共有して、クラウド導入にあたっての可能性と限界を提言できることと、大学情報システムの持続可能性を確保するために最低限持つべき技術力を習得する「情報セキュリティ対策技術部門コース」と、最適な情報システムの維持管理と高度化を図るために大学として整備しておくべき課題やそれを推進するための政策について研究討議する「情報セキュリティマネジメントコース」を実施した。
クラウドコンピューティングの概念理解と実用の可能性およびセキュリティの確保について理解を深めることを狙いとして、三つの講演を行った。
講師:深澤 良彰氏(早稲田大学理事、理工学術院教授)
クラウドコンピューティングの概要ならびに大学情報システムへの導入パターンや留意点などについて説明された。
講講師:藤村 丞氏(福岡大学総合情報処理センター研究開発室長准教授)
大学情報システムにおける電子メールクラウドサービスの実際の導入事例を基に、導入を決めた要因、導入経緯、運用状況ならびに問題点などが具体的に紹介された。
講師:中野 佳也氏(独立行政法人情報処理推進機構セキュリティセンター情報セキュリティ分析ラボラトリー調査役)
クラウドコンピューティングにおけるセキュリティの概観と課題について、大学情報システムに求められる特性も踏まえながら提示された。
本年3月に発生した東日本大震災において、大学の情報システム部門に発生した被害とその対応や課題について、事例を取り上げ情報部門の備えについて理解を深めた。
講師:
橋 郁雄氏(石巻専修大学事務部事務課掛長)
大震災ならびにその余波により人的・物的に被災した石巻専修大学の情報システムの復旧までの対応が詳細に紹介され、これらの経験をもとに大学情報システムにおける今後の課題について言及された。
講師:今関 靖英氏(日本アイ・ビー・エム株式会社クラウド&スマーター・シティー事業 部長、公共事業担当)
今回の震災発生の翌日に召集された日本IBMの特別対策チームのクラウドコンピューティングを活用した災害支援活動の具体的な活動内容が紹介された。
本コースでは、情報基盤整備やネットワーク、システムの運用管理を担当者やセキュリティ対策に関連する教職員を対象に、下記の三つのセッションに分けて実習を行った。
1.クラウドコンピューティングのメリットとそれを支える技術の理解
2.クラウドコンピューティングの技術的なリスクの理解
3.災害対策を視野にいれたクラウドコンピューティングの活用、BCPの概要
Linux環境でKVMを活用して、ゲストOSの複製などの操作やライブマイグレーションのデモを通して、サービス内容やコストメリットに注視されがちなクラウドコンピューティングについて、基盤となる仮想化技術について理解を深めた。
特に、サーバに対して通常必要となるセキュリティ対策は、クラウドコンピューティングにおいても同様に大切であることを強調した。
幅広く包括的な観点が必要となるクラウドの技術的リスク分析に向けて「マルチテナント」という観点から、デバイス共有から発生するリスクについて、独立行政法人産業技術総合研究所の須崎有康氏より、「VM/Cloud Systemの(技術的な)セキュリティ」という題目で講演いただいた。また、須崎氏の発見された「メモリ重複除外機能(KSM)を悪用したキャッシュの覗き見」について、実習環境で具体的に確認することで、そのリスクの理解を深めた。
本実習で体験した共有メモリのリスクは、DaaS(Desktop-as-a-Service)における標的型攻撃の準備段階でも悪用可能であり、クラウドコンピューティングの用途に慎重な検討が必要であることを示している。
石巻専修大学における被災時のWeb復旧経験をモデルに、クラウドコンピューティングを活用する想定でDNSサーバやWebサーバなどの代替運用の作業をシュミレーションした。特に、JRPSやSCINETなどへのDNS登録変更申請など盲点になりがちな点について注意喚起を行った。
さらに、今後の課題として、大学の情報部門としてのBCP策定推進の必要性とその概要について説明した。
上記の実習を通じて、以下のことが確認できた。
1)大学情報環境においても、クラウドはその大きなコストメリットから、経営陣からの導入命令が下ることが多くなってきている。一方、情報部門のスタッフが、大学の戦略的ICT活用に対して提言を行う場合には、技術的なリスクとそれから発生する脅威の大きさについて正確に把握して舵取りを行わねばならない。
2)クラウドについては、リスク分析の際に目を配る技術要素が、デバイスドライバ、メモリ重複除外機能など、従来のASPサービスのリスク分析の際の着目点より範囲が拡大している点に注意が必要。
3)しがたって、学籍や成績データを扱う教務系システムや事務局のデスクトップ環境をクラウドにアウトソーシングする場合は、学内でのリスク認識の共有に留意しなければならない。
一方、災害時などの非常事態に、大学情報システムの一部(Web)を復旧するなど可用性の確保には、一定のメリットがあるのではないかとも考えられる。
本コースでは、大学においてクラウドコンピューティングの導入や運用の検討に関わる教職員、ならびに情報セキュリティとクラウドコンピューティングや災害時の緊急対応との関連に関心のある教職員を対象に実施した。大学情報システムの最適化を図るために配慮しておくべき事柄として、震災等の復旧対策について認識を共有するとともに、最小の負担で最大の効果が得られる情報システムの機能整備として、クラウドコンピューティングの可能性について認識を深め、その上で、クラウドコンピューティングも含めた大学の情報システムのセキュリティの在り方について再点検を行い、取り組むべき方向性を探究することを狙いとした。
具体的には、東日本大震災の発生による情報システムへの影響を教訓とし、今後検討しておくべき事柄として災害等の復旧対策をテーマに取り上げるとともに、近年企業だけでなく大学においても利用が進んでいるクラウドコンピューティングについて、最小の負担で最大の効果が得られる情報システムの機能整備の可能性もテーマに取り上げた。
そして、両者を踏まえた上で、大学の情報システムのセキュリティの在り方について再点検を行い、取り組むべき方向性を探究することを目標として、講習を行った。
コース参加者の所属は、情報部門が約6割と多いものの、図書館部門・教務部門・事務部門(総務部門)からの参加があった。役職では、管理職が半数を占めた。また、所属名から情報管理・危機管理・安全対策等が主な職務と思われる参加者があり、これらの分野において大学が組織的に取り組むための体制整備が行われつつあることを窺わせた。
実施内容は以下の通りである。
1.情報セキュリティの概要
大学における情報資産を守るために必要な情報セキュリティの考え方について、情報資産の定義、リスク分析、取り得る対策等に関する講義を行った。
2.大学の情報セキュリティ対策におけるクラウドコンピューティングの利用に関するチェックポイント
昨年度に引き続き、当協会が今年度実施した「大学の情報セキュリティ対策の自己点検・評価」の結果および昨年度との比較について解説した。また、クラウドコンピューティングの利用に際して大学が配慮すべき留意点と点検項目について、本協会で現在検討しているチェックリストの案を、クラウドコンピューティングに関する用語の解説とともに紹介した。
3.クラウドコンピューティングおよび災害時の緊急対応の取り組みと情報セキュリティ対策
東日本大震災を通じて、各大学において浮かび上がった問題点、および情報システムの運用コストの軽減、教育研究機能の高度化へ迅速に対応するための選択肢として、クラウドコンピューティングの利用の可能性と、利用の課題をテーマとして、グループディスカッションを行った。グループ分けは、参加者の所属大学の規模や種別、地域等を考慮して行った。
グループディスカッションの内容は、クラウドコンピューティングの利用および災害時の緊急対応に関する今後の取り組みとして、「データ保全、事業の継続性」「情報機器の安定稼働確保」「クラウドサービスの切り分けと災害マニュアルの作成」「障害対策から危機管理対策への移行」「事業継続性を担保できる行動」「災害時の緊急対応」のアクションプランにまとめ、グループ内で得られた知見とともに、コース全体での成果としてグループ発表を行った。また、コースの最後には、本講習会の全体会において東日本大震災の発生時の状況および被災からの情報システムの復旧について事例紹介いただいた石巻専修大学の高橋氏から、グループ発表に関する講評をいただいた。
本コース実施の結果、セキュリティの基本が整理でき、セキュリティマネジメントに対する教育の重要性を再確認できた。また、最後のグループ発表により、各グループで得られた知見をコース参加者全員で共有することができた。
| 文責: | 情報セキュリティ研究講習会運営委員会 | |
